mrchubby
Chuyên viên tin tức
Dữ liệu cá nhân là một điều gì đó vô cùng nhạy cảm, và với Internet những dữ liệu đó có thể bị đánh cắp bất cứ lúc nào. Nhưng có một tin vui đã đến với cộng đồng khi Google, Amazon, Facebook, Microsoft và nhiều hãng công nghệ lớn khác đã bắt tay cùng nhau để tăng cường bảo mật của lưu lượng email trên Internet.
Các kỹ sư phần mềm từ các hãng công nghệ này đang làm việc cùng nhau để tạo ra một hệ thống mới với tên gọi SMTP Strict Transport Security (tạm dịch “Bảo mật truyền tải nghiêm ngặt SMTP”), hệ thống này là một cơ chế cho phép các nhà cung cấp email xác định các nguyên tắc mới cho việc tạo ra kết nối email đã được mã hóa.
Công nghệ mới này là hoàn toàn cần thiết, đặc biệt đứng trước tình hình các tiêu chuẩn bảo mật email đã giậm chân tại chỗ trong vài năm gần đây, điều này để lại hậu quả rằng hầu hết tất cả email đều không được mã hóa và trở thành miếng mồi ngon cho những cuộc tấn công kẻ-đứng-giữa (man-in-the-middle). Khi email lần đầu tiên được giới thiệu, nó sử dụng SMTP (simple mail transfer protocol), giao thức này không được tích hợp bất cứ tính năng mã hóa nào. Cũng bởi vậy mà vào năm 2002, bản mở rộng mang tên STARTTLS đã được thêm vào nhằm tích hợp TLS (Transport Layer Security) vào SMTP để mã hóa các kết nối.
Theo những nghiên cứu từ các hãng phần mềm đứng sau giao thức mới này, một trong những vấn đề chính là với chuẩn này là phải mất một thời gian dài để được chấp nhận rộng rãi, hiện tại nếu bất cứ thứ gì được gửi đi theo email gặp trở ngại, nó sẽ được gửi mặc định không mã hóa. Không những thế, STARTTLS cũng dùng mã hóa cơ hội (opportunistic), mã hóa này không xác nhận chứng nhận kỹ thuật số của máy chủ và nếu nó không thể xác định chứng thực của máy chủ, nó sẽ coi việc gửi email sẽ vẫn tốt hơn là không gửi gì.
Điều này dẫn đến việc tạo ra lỗ hổng cho các cuộc tấn công man-in-the-middle, các hacker sẽ nhảy vào giữa luồng email, trình ra bất cứ chứng nhận nào để chặn lại luồng này, ngay cả khi đó là các chứng nhận tự làm. Với cách làm này, hacker vẫn có thể giải mã email cho dù email này trước đó đã được mã hóa tại nơi gửi đi.
Bảo mật Truyền Tải nghiêm ngặt SMTP được sinh ra để giải quyết vấn đề này. Giao thức mới được thiết kế để ngăn chặn việc chuyển đi email nếu email không thể được chuyển đi an toàn. Giao thức này cũng sẽ kiểm tra để đảm bảo rằng chứng nhận email là chuẩn xác, nếu gặp phải chứng nhận không đúng, email sẽ không được chuyển đi và người gửi sẽ được thông báo kết quả tại sao mình không gửi được email đó.
Lời đề nghị về Hệ thống này đã được gửi lên Internet Engineering Task Force. Và nếu thành công, chúng ta sẽ sớm được gửi và nhận email an toàn hơn rất nhiều.
Theo DigitalTrends
